Internal control, as defined in accounting and auditing, is a process for assuring

achievement of an organization's objectives in operational effectiveness and efficiency,

reliable financial reporting, and compliance with laws, regulations and policies. A broad
concept, internal control involves everything that controls risks to an organization.[1]

It is a means by which an organization's resources are directed, monitored, and measured. It

plays an important role in detecting and preventing fraud and protecting the organization's
resources, both physical (e.g., machinery and property) and intangible (e.g., reputation or
intellectual property such as trademarks).

At the organizational level, internal control objectives relate to the reliability of financial
reporting, timely feedback on the achievement of operational or strategic goals, and
compliance with laws and regulations. At the specific transaction level, internal control refers
to the actions taken to achieve a specific objective (e.g., how to ensure the organization's
payments to third parties are for valid services rendered.) Internal control procedures reduce
process variation, leading to more predictable outcomes. Internal control is a key element of
the Foreign Corrupt Practices Act (FCPA) of 1977 and the Sarbanes–Oxley Act of 2002,
which required improvements in internal control in United States public corporations. Internal
controls within business entities are also referred to as operational controls.

Menilai dan membandingkan kecukupan serta efektivitas pengendalian

klien dengan kerangka model yang relevan

Setiap aktivitas memiliki peran tersendiri dalam pencapaian hasil akhir

proses. Terdapat beberapa aktivitas yang sangat kritis keberadaannya dan
sangat mempengaruhi pencapaian hasil akhir proses. Aktivitas tersebut
dikenal sebagai aktivitas yang berfungsi sebagai pengendalian utama.

Pengendalian tingkat entitas dapat berdampak pada pengoperasian

pengendalian di tingkat proses. Oleh karena itu, auditor internal harus
mempertimbangkan dampak pengendalian tingkat entitas pada proses yang
diaudit sebelum melanjutkan melakukan identifikasi pengendalian tingkat
proses utama. Untuk dapat melaksanakan tugas ini secara efektif, penting
untuk memahami berbagai jenis pengendalian yang dapat dianggap sebagai
pengendalian utama di tingkat proses. Berikut ini disajikan beberapa
contoh aktivitas/kegiatan yang mungkin berfungsi sebagai pengendalian
utama di tingkat proses, yaitu:

a. Approving
Ini tindakan menyangkut proses pemberian persetujuan atau otorisasi
untuk dilaksanakannya suatu transaksi yang diberikan oleh pejabat
organisasi yang berwenang. (misalnya, persetujuan penghapusan).
 b. Calculating
Merupakan proses pengolahan data melalui kalkulasi matematis atas
data-base yang ada pada organisasi. (misalnya, menggunakan data
penghapusan historis untuk menghitung cadangan kredit macet, atau
memeriksa perhitungan depresiasi untuk memastikan jumlah yang
dihitung masuk akal).

c. Documenting
Adalah proses perekaman atau pencatatan suatu transaksi/kejadian
yang bermanfaat untuk penyediaan informasi. (misalnya, memindai
dokumentasi, faktur, dan cek untuk mendukung pembayaran, atau
menulis catatan ke file yang menguraikan penilaian yang digunakan
dalam menentukan nilai akrual).

d. Examining
Ini adalah proses verifikasi atau pengujian suatu atribut tertentu
(misalnya: kelengkapan data, kepatuhan proses, bukti bahwa barang
yang dibayar diterima).

e. Matching
Merupakan proses membandingkan antara dua atribut data dari
sumber yang berbeda untuk meyakini kesesuaiannya. (misalnya, jumlah
pembayaran sesuai dengan jumlah faktur).

f. Monitoring
Proses melakukan pengecekan untuk meyakini bahwa suatu aktivitas
telah dilaksanakan. (misalnya, memantau bahwa persetujuan faktur
tidak melebihi batasnya).

g. Restricting
Proses pembatasan atau pencegahan terjadinya suatu aktivitas tertentu
yang tidak diijinkan. (misalnya, melarang praktik spekulasi tentang
fluktuasi suku bunga, atau tidak mengizinkan individu yang tidak sah
mengakses data tertentu dalam sistem utama).

h. Segregating
Proses pemisahan beberapa fungsi yang apabila dilaksanakan oleh satu
pihak dapat menimbulkan aktivitas atau kondisi yang tidak diharapkan.
(misalnya, memisahkan penandatanganan cek dan otoritas persetujuan
faktur).

i. Supervising
Menyangkut penyediaan arahan dan pengawasan untuk meyakini
bahwa suatu aktivitas telah dilaksanakan sesuai rencananya. (misalnya,
pengawas menyetujui batch sebelum pemrosesan komputer).

Identifikasi pengendalian tingkat proses dimulai dengan dua langkah

sebelumnya, yaitu: ‘memahami auditee’ dan ‘mengidentifikasi dan menilai
risiko’. Tugas saat ini melibatkan memastikan bahwa setiap kontrol tingkat
proses tambahan telah diidentifikasi sebelum penilaian dilakukan untuk
mengendalikan risiko mitigasi kunci.

Tidak ada petunjuk atau formula yang memberikan informasi absolut

kepada auditor internal tentang kontrol/pengendalian mana yang penting
dan mana yang tidak. Sebaliknya, menentukan pengendalian utama dapat
dilakukan oleh auditor internal secara mudah dengan menjawab
pertanyaan berikut:

“Jika tidak dilakukan sebagaimana didisain, pengendalian manakah yang

kemungkinan akan mengakibatkan ketidakmampuan untuk mencapai
tujuan tingkat proses?”

Hal-hal berikut ini penting diperhatikan ketika auditor hendak

mengidentifikasi pengendalian utama:

a. Auditor internal harus memiliki pemahaman yang jelas tentang tujuan

tingkat proses.
b. Konsekuensi dari implementasi pengendalian yang tidak memadai
harus dievaluasi untuk menentukan apakah kelemahan pengendalian
akan secara signifikan mengganggu pencapaian tujuan.
c. Keberadaan pengendalian kompensasi harus dipertimbangkan karena
dapat mengindikasikan bahwa pengoperasian pengendalian utama
tidak se-kritis yang diperkirakan sebelumnya.
d. Efek dari satu pengendalian pada pengendalian lain juga harus
dipertimbangkan seperti implementasi suatu pengendalian mungkin
tidak secara signifikan mengganggu upaya pencapaian tujuan, tetapi
dapat berdampak pada implementasi pengendalian lainnya, sehingga
dapat mengganggu pencapaian suatu tujuan.
e. Dampak implementasi tingkat entitas juga harus dipertimbangkan,
yaitu, kelemahan dalam implementasi pengendalian tingkat entitas
dapat mengurangi efektivitas pengendalian tingkat proses. Dengan
memahami efektivitas pengendalian tingkat entitas, auditor internal
dapat menilai dengan lebih baik dampak pengendalian utama pada
tingkat proses dalam upaya pencapaian tujuan.

Pengendalian redundan (redundant controls), atau yang tidak hemat biaya,

mungkin perlu diubah atau dihilangkan. Pengendalian semacam itu
mungkin bukan pengendalian kunci.